我正在使用 HTML5 做一个移动 WebApp。我的问题是,据我了解,HTML5 应用程序缓存缓存的“登录后”页面仍然不安全。有解决办法吗?确保离线身份验证对入侵者隐藏用户/通行证和“登录后”页面的最佳方法是什么?
问问题
1119 次
1 回答
1
我刚刚开始通过 Manifest 选项 ( http://diveintohtml5.info/offline.html ) 深入研究 HTML5 对本地存储的使用,这也是我对隐私和安全性的担忧。想到了两件事:Ezncrypt 和 Web 存储(隐私和安全)的编辑草稿,链接到下面...
虽然我不知道这是否是“最佳”答案,但我认为有总比没有好,毕竟你在 2012 年 2 月 2 日发布了这个问题,而且没有其他人提供任何东西。
警告(ezNcrypt):它适用于 Linux 它是一个商业产品,有 30 天的试用期,老实说,我不知道成本,因为我不隶属于他们,只是通过本地聚会、LAPHP、LAMySQL 或 LAWebspeed 最后听说他们做了什么年,听起来很有趣,值得将来参考。透明加密将是巨大的。
谷歌Ezncrypt产品获取链接,我这里只限两个。
即使它对您或其他人来说不是“正确”的解决方案,也许它会通过一些体面的搜索词为您指明一个好的方向,以找到更多。
如果加密是在应用程序/数据层下“透明地”处理的,那么无论用户的 IT 知识如何,它都可以正常工作。
如果您愿意与他们分享一些联系信息,您将获得包含 4 个案例研究、FTP、NoSQL、SQL 和其他内容的 PDF 文件……它是免费的。
我应该得到佣金,哈哈。嘿,如果它可以帮助我们找到解决方案,那才是最重要的。
无论您做出何种决定,请确保您通过编辑草稿、隐私和安全来打点您的 i 并跨越您的 T,尤其是第 6 节隐私和第 7 节安全。
http://dev.w3.org/html5/webstorage/#the-localstorage-attribute
只是想到了另一个,除了提供他们的清单(备忘单)的 URL 外,我没有看,但我猜 OWASP 会有一个或两个清单可能会引导你找到一些东西。只需将您的设备想象成一个小型桌面/服务器,看看其中是否适用。不幸的是,我的诺基亚 N800 坏了我,大约 2006 年,我手中的一台成熟的 Linux 计算机和大约 2012 年的新 Linux 手持设备功能强大得多。只需在具有可交换存储的设备上使用占用空间小的 Linux 发行版(微型 SSD 卡就可以了……诺基亚 N800 在 2006 年有两个插槽),您可以在本地存储和离线运行的内容没有限制。以下是 OWASP 清单的 URL:
抱歉,仅限于两个链接,谷歌 OWASP 小抄,你会找到它们。
如果手持设备真正“智能”,您将拥有对设备和底层操作系统/文件系统的 root(管理员)访问权限。每个操作系统都有动态加密数据的方法,但您必须有权使用它们。一个不给你这种访问权限的设备(通常是出于专有原因,最常见的是迫使你在 6 个月到 1 年内购买新设备)会因为错误的原因人为地限制你的选择,而且根本不聪明。请记住,并非所有版本的 Android (Linux) 都不是开放且可 root 的,因此请做好功课,否则您将在不久的将来得到一个昂贵的镇纸。
我建议只购买允许 root/admin 访问的智能手持设备。
于 2012-04-25T01:17:25.943 回答